Ohessa muutama R.Chambersin bloginosto kuluvan vuoden huhtikuulta. Aiheina aina niin ajankohtaiset seurantatarkastukset – tietoturvan tarpeellisuus sekä teknologiahaasteeseen vastaaminen. Nautinnollisia kesäisiä lukuhetkiä toivotellen!
Chambersin blogi ottaa kantaa seurantatarkastuksiin
Richard Chambersin blogi 4.4.2019
Richard Chambers (IIA President and CEO, CIA, QIAL, CGAP, CCSA, CRMA) kertoo näkemyksiään sisäisen tarkastuksen ammatista blogissaan yhdistyksen kansainvälisillä sivuilla.
Chambersin blogi ottaa kantaa seurantatarkastuksiin, hän ehdottaa tekstissään käytännönläheistä lähestymistä seurantatarkastuksiin, jotta sisäisen tarkastuksen voimavarat käytetään parhaalla mahdollisella tavalla.
Chambers huomasi jo nuorena tarkastajana turhautuvansa seurantatarkastuksissa siihen, ettei sovittuja toimenpiteitä oltukaan laitettu käytäntöön vastuullisen johdon toimesta. Johdolta löytyi aina runsaasti selityksiä sille, miksei ongelmakohtia ollut korjattu:
- ”Aliarvioimme sovitun tehtävän monimutkaisuuden”
- ”Emme ymmärtäneet, kuinka kauan muutoksen läpivienti veisi”
- ”Olosuhteet muuttuivat, eikä toimenpide ole enää ajankohtainen”
- ”Meillä ei ollutkaan resursseja ongelman korjaamiseksi”
- ”Koira söi kotitehtävämme jne.”
Chambers oppi lopulta vieroksumaan seurantatarkastuksia, koska tulokset olivat niin usein pettymyksiä. Tarkastusjohtajana Chambers jopa kyseenalaisti seurantatarkastusten lisäarvon. Ne eivät olleet tehokasta tarkastusresurssien käyttöä, vaikka sovitut toimenpiteet olisivatkin tehty. Valtionhallinnon tarkastajana toimiessaan seurantatarkastukset kuuluivat Chambersin toimeen pakollisina ammattistandardien sekä säädösten vuoksi.
Chambers mainitsee hyvänä kehityksenä sen, että nykyiset ammattistandardit ja -ohjeet tarjoavat laajemman liikkumavaran seurantatarkastuksien suhteen. Nykyisessä seurantaa koskevassa standardissa (2500) ei mainita seurantatarkastusta vaan puhutaan seurantaprosessista, johon annetaan tarkempia ohjeita soveltamisohjeessa. Tarkastusjohtajat ja -komiteat sekä viranomaiset voivatkin tapauskohtaisesti määrittää, mikä on sopiva seurantaprosessi organisaatiolle tai kyseessä olevalle havainnolle ja toimintasuunnitelmalle.
Tilanteissa, joissa syystä tai toisesta seurantatarkastukset ovat rutiininomaisesti sisäisen tarkastuksen agendalla, Chambers suosittelee käytännönläheisesti kysymään seuraavat kysymykset, ennen seurannan aloittamista:
- Onko johto kertonut sovitun tehtävän suoritetuksi? Mikäli tehtävää ei ole suoritettu, voi kysyä aikataulusta, muttei ole seurannan kannalta järkevää kuin todeta asioiden olevan kesken.
- Onko kyseessä oleva johto koskaan pyrkinyt johtamaan sisäistä tarkastusta harhaan toimintasuunnitelmien tilanteen tai muiden tarkastusaiheiden suhteen? Tällainen käytös on aina huolestuttavaa ja edellyttää seurantatarkastusta. Erityisesti riskialttiiden asioiden kohdalla kannattaa myös harkita testattavia otoksia.
- Oliko suunniteltu korjaava toimenpide niin monimutkainen, että siinä on todennäköisesti törmätty ennennäkemättömiin ongelmiin? Kun prosesseja muutetaan, kontrollit voivat hyvinkin hajota. Monimutkaisten muutosten jälkeen seuranta on suositeltavaa
- Ovatko toistuvat samat havainnot todennäköisiä? Tuntiessasi tarkastettavat hyvin, saatat tietää jo etukäteen todennäköiset virhekohdat. Jos samat havainnot toistuvat, riskit ovat suuremmat, mutta jos prosessi on hyvin kontrolloitu ja korjaavat toimenpiteet kerrotaan suoritetuksi, riskit pienenevät.
- Edellyttävätkö tarkastusvaliokunta tai viranomaiset seurantatarkastusta? Näin voi olla, erityisesti organisaatiolle riskialttiissa tarkastuskohteissa. Resurssien tehokkaasta käytöstä kannattaa aina keskustella vastuullisten tahojen kanssa, mutta loppujen lopuksi asia on hallituksen, ei sisäisten tarkastajien, päätettävissä.
Jos seurantatarkastukset nähdään tarpeellisiksi, Chambers suosittelee miettimään, miksi organisaatiossa korjaavat toimenpiteet vaativat seurantaa toteutuakseen? Tulisi paneutua juurisyihin, miksi näin on. Tietenkin on parempi löytää toistuvat virheet kuin jättää ne huomaamatta, mutta nämä toistuvat havainnot ovat yhtä lailla epäonnistuminen sisäiselle tarkastukselle kuin johdollekin, Chambers kirjoittaa. On parempi estää uusintahavainnot kuin löytää ne.
Lopuksi Chambers toteaa, että tärkeintä on korjaavien toimenpiteiden toteutus sekä tätä varmistava seurantaprosessi.
Lue koko blogi täältä:
https://iaonline.theiia.org/blogs/chambers/2019/Pages/The-Fallacy-of-Follow-up-Audits.aspx
*****************************************************************************************************************************************
Facebookin tietovuoto osoitti tietoturvan tarpeellisuuden
Richard Chambersin blogi 8.4.2019
Richard Chambers (IIA President and CEO, CIA, QIAL, CGAP, CCSA, CRMA) kertoo näkemyksiään sisäisen tarkastuksen ammatista blogissaan yhdistyksen kansainvälisillä sivuilla.
Facebook, jota käyttäjät ja sijoittajat pitivät aikaisemmin erehtymättömänä, kohtasi hiljattain uuden takaiskun. Kyberturvallisuusyrityksen tutkijat löysivät Facebookin käyttäjätietoja Amazon.comin ylläpitämissä pilvipalveluissa. Paljastus tuli noin vuosi sen jälkeen, kun Facebook joutui jalkapuuhun Cambridge Analytica-skandaalin takia. Tuolloin tuli esiin, että sovelluskehittäjä jakoi miljoonien Facebook-käyttäjien tietoja poliittiselle konsulttiyritykselle. Amazonin kaltaisia lapsuksia tulee esiin, vaikka Facebook toimitusjohtaja Mark Zuckerberg on vakuutellut, että yhtiö tekee enemmän suojellakseen käyttäjien tietoja.
Facebookin vaikeudet osoittavat selkeästi sisäiselle tarkastukselle, että tieto muodostaa myös mahdollisen riskin eikä vain hyödynnettävää omaisuutta. Tietoturvaa tarvitaan entistä enemmän ja etenkin henkilötietojen suojaamista. Tunnistettavat henkilötiedot ovat aarreaitta markkinoijille, myyjille, poliittisille kampanjoille ja vastaaville eli niille, jotka haluavat vaikuttaa yleiseen mielipiteeseen ja toimintaan.
Sisäisten tarkastajien pitää tietää, miten organisaatio kerää, hallinnoi, suojaa, käyttää ja jakaa tietoa. Sisäinen tarkastus voi varmistaa seuraavia osa-alueita
- Tietoturvalainsäädännön ja –määräysten noudattaminen
- Tietohallinnon toiminta: miten tietoa kerätään, hallinnoidaan ja suojataan?
- Tiedon hyödyntäminen strategisessa päätöksenteossa: ovatko tiedot oikeita ja toimiiko tietojen analysointi tarkoitetulla tavalla?
- Toimintakulttuuri: miten tietojen käyttämisestä päätetään päivittäisessä toiminnassa ja mikä on organisaation kyky vastata muuttuviin tietotarpeisiin?
Lue koko blogi täältä: https://iaonline.theiia.org/blogs/chambers/2019/Pages/Facebook-Data-Exposure-Offers-Critical-Lesson-for-Internal-Auditors.aspx
*****************************************************************************************************************************************
Sisäisen tarkastuksen teknologiahaaste on kova pala
Richard Chambersin blogi 16.4.2019
Richard Chambers (IIA President and CEO, CIA, QIAL, CGAP, CCSA, CRMA) kertoo näkemyksiään sisäisen tarkastuksen ammatista blogissaan yhdistyksen kansainvälisillä sivuilla.
Usein ensimmäisen kvartaalin lopussa monet avaintahot sisäisen tarkastuksen saralla julkaisevat raportteja, jotka tarjoavat pilkahduksen siihen, miten meillä menee. Kaksi hiljakkoin julkaistua raporttia nostavat esille vakavia huolia siitä, kuinka hitaasti sisäisen tarkastuksen kehitys etenee teknologian hyödyntämisessä. Nämä raportit ovat Protivitin Sisäisen tarkastuksen kyvykkyydet ja tarpeet –kysely sekä PwC:n Sisäisen tarkastuksen tila –raportti.
Protivitin raportti osoittaa, että kolme neljästä sisäisen tarkastuksen toiminnosta on kehittämässä toimintaansa, mutta ovat vasta matkan alkuvaiheessa. Edelleen kuitenkaan suuri osa toiminnoista ei ole edes aloittanut työtä. Vielä huolestuttavampaa on, että alle kolmannes sisäisen tarkastuksen toiminnoista on tehnyt suunnitelman toiminnon kehittämisestä.
PwC:n raportti ei myöskään ole kovin innostava. Raportti kuvaa sisäisen tarkastuksen pyrkimyksiä olla digitaalisesti ”kunnossa”. Sen mukaan 19 % sisäisen tarkastuksen toiminnoista on sillä tasolla ja toiset 27 % on ottamassa askeleita siihen suuntaan. 54 % toiminnoista ovat vasta aloittelijoita, jotka ovat aloittamassa tai suunnittelevat kehitystoimenpiteitä sattumanvaraisesti.
Chambersin mielestä tulokset ovat erittäin huolestuttavia huomioiden, kuinka kauan ammattikunta on puhunut prosessien päivittämisestä ja kehittämisestä. Hän on itse tilaisuuksissa nostanut esiin samoja teemoja; uuden sukupolven teknologioiden huono omaksuminen, heikkoihin lähestymistapoihin nojaaminen tunnistettaessa nousevia ja poikkeuksellisia riskejä sekä minimaaliset muutokset vuosikymmeniä vanhoihin tarkastusprosesseihin. Muutos vaatii, että olemme ketteriä ja innovatiivisia, nostamme osaamisen tasoa ja olemme enemmän tekemisissä hallituksen kanssa.
Chambers korostaa, että sidosryhmämme odottavat enemmän sisäiseltä tarkastukselta. Aiemmin mainittujen raporttien mukaan emme ole valmiita vastaamaan näihin vaatimuksiin. Odotuskuilu kasvaa niin kauan, kunnes olemme ammattikuntana valmiita uudistamaan lähestymistapojamme, päivittämään vanhoja ja hitaita prosessejamme ja hyödyntämään teknologioita.
Lue koko blogi täältä: https://iaonline.theiia.org/blogs/chambers/2019/Pages/Internal-Audits-Technology-Challenge-Is-No-Easy-Road.aspx
Avaa koko näytössä